Je ne sais pas si vous suivez un peu ce qui se passe au niveau européen en matière de protection des données personnelles, mais le 27 avril dernier, après 4 ans de négociations tendues, l'Europe a voté le RGPD (pour "Règlement général sur la protection des données" ou en anglais : General Data Protection Regulation, GDPR)

La RGPD doit permettre d’harmoniser le droit de la protection des données personnelles au sein de l’Union européenne et de moderniser ses principes à l’ère numérique. Dit comme ça c'est pas passionnant mais vous allez voir, ce texte est très important.

En effet, cela va obliger toutes les entreprises européennes à adapter leurs outils et leurs procédures avant l'application du texte le 25 mai 2018.

En quoi ça consiste ?

Et bien comme cela va permettre de redonner aux citoyens le contrôle de leurs données personnelles (youpi !!), il faut, entre autres choses, que le consentement de l'internaute ne soit jamais implicite ou général.

Et évidemment, comme on sait très bien que certaines entreprises ne joueront pas le jeu, tous les acteurs du privé et du public vont donc devoir PROUVER la conformité légale des traitements de données personnelles mis en oeuvre chez eux.

Cela veut dire que la société que vous dirigez ou pour laquelle vous travaillez va devoir tracer et documenter le consentement des internautes, ainsi que l'autorisation d'accès, de rectification, de suppression et d'opposition à ces données personnelles. Sans oublier les nouveaux droits qui sont créés pour l'occasion tels que le droit de portabilité des données ou un droit offrant des limites dans le traitement de celles-ci.

L’article 32 du RGPD sur la sécurité des traitements de données précise les différents critères que les sociétés doivent prendre en compte pour déterminer le niveau de sécurité à adopter. Par exemple: l’état de l’art, les coûts de mise en œuvre de la sécurité, le traitement concerné y compris sa finalité et son contexte, et la probabilité et la gravité des risques pour les droits et libertés des personnes.

La logique consiste à adapter les mesures de sécurité aux risques identifiés pour les traitements de données personnelles.

Attention, grosse innovation, le RGPD prévoit aussi l’évaluation des risques sur la vie privée présentés par le traitement de données. Il incombe alors aux sociétés de réaliser une étude d’analyse d’impact pour tous les traitements de données susceptibles de générer un risque élevé sur la vie privée des personnes concernées.

Selon le RGPD, certains traitements de données sont considérés comme risqués et soumis à une étude d’analyse d’impact, du fait de la nature des données traitées (traitement à grande échelle de données sensibles ou pénales) ou de leur finalité (profilage, surveillance à grande échelle de zones accessibles au public …).

S’agissant des garanties à mettre en place, l’article 32 énumère certaines mesures susceptibles d’être utilisées par les sociétés tels que :

  • le recours à la pseudonymisation
  • le chiffrement des données
  • l’adoption de moyens permettant de garantir la confidentialité
  • l’intégrité, la disponibilité et la résilience des systèmes
  • l’adoption de moyens permettant de rétablir la disponibilité et l’accès aux données personnelles en cas d’incident technique ou physique
  • la vérification régulière des mesures

Les codes de bonne conduite et les certifications mentionnés dans le RGPD sont des solutions également susceptibles d’être envisagées en ce qui concerne la sécurité.

Et lorsque la fameuse étude d’analyse d’impact révèle un niveau de risque élevé il est obligatoire de consulter la CNIL avant la mise en œuvre du traitement de données concerné. Cela implique notamment que les mesures dédiées à la sécurité du traitement doivent être communiquées à la CNIL qui décide ensuite si elles sont suffisantes afin de valider ou non le traitement.

Toujours selon ce texte, la sécurité des données impose aussi aux entreprises de notifier à la CNIL toutes violations de données personnelles dans la limite de 72 heures après en avoir eu connaissance dans un premier temps. Mais aussi à la personne concernée en cas de mesures de sécurité jugées insuffisantes par la CNIL.

Cette obligation est étendue aux sous-traitants qui doivent notifier aux sociétés, les violations de données dès qu’ils en ont connaissance. Ces violations de données sont généralement la conséquence d’un ou de plusieurs incidents de sécurité (ex : introduction frauduleuse dans le SI, extraction, reproduction ou diffusion de données).

Et si on décide de ne rien faire ?

Et bien, PAF, sanction ! C'est la CNIL qui s'en chargera en France, distribuant de jolies amendes allant jusqu'à 4% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros max. Pour les autres violations des obligations prévues par le RGPD, les sanctions pourront aller jusqu’à 2% du chiffre d'affaire mondial ou 10 millions d’euros max.

Bon OK alors faut faire quoi ?

Vous l'aurez compris, en plus d'offrir à l'internaute un haut niveau de sérénité concernant ses données personnelles, la détection des incidents et leur rectification en amont permettent d’éviter la notification puisqu’il n’y a pas de violation.

Cette nouvelle réglementation impose l’établissement d’un état des lieux des traitements de données mis en œuvre au sein de la société, ce qui permettra notamment de déterminer les priorités pour la mise en conformité ainsi que son accompagnement.

Je vais donc prêcher pour ma paroisse, mais sur le plan de la sécurité, l’introduction de la pratique du Bug Bounty me semble vivement recommandée afin de détecter les incidents de sécurité en amont, et donc de les prévenir en corrigeant les failles découvertes.

Voilà pour le petit topo sur le GDPR, j'espère que ça vous a plu. Si vous voulez plus d'infos, le texte officiel est disponible ici en PDF.

Merci beaucoup à Eric A. Caprioli, Avocat à la Cour, Docteur en droit, membre de la délégation française aux Nations Unies et à Isabelle Cantero, Avocat associé (Caprioli & Associés), responsable du Pôle Vie privée et données personnelles pour leur aide dans la rédaction de cet article.